一种安全智能网关系统、数据传输方法

技术领域

本发明涉及网络安全技术领域，尤其是涉及一种安全智能网关系统、数据传输方法。

背景技术

随着云计算、大数据、物联网等新兴技术的不断兴起，企业IT架构正在从“有边界”向“无边界”转变，同时公司数字化发展，新业务、新场景不断涌现，网络链条不断延伸，业务暴露面持续扩大，更多的员工愿意使用自己的设备办公。当越来越多的业务访问都是从互联网环境发起，其业务系统的网络安全保护就显得更为重要。

中国发明专利名称：一种远程办公系统、方法、智能终端及存储介质，专利号：CN114826704A，提供了一种远程办公系统、方法、智能终端及存储介质，旨在解决现有技术在远程办公用户使用办公系统进行远程办公时，传输的过程中企业内部的私密数据容易受到拦截和干扰，导致企业信息的安全性降低的问题，其技术方案是一种远程办公系统，基于用户端以及企业端实现，包括用户登录模块，用于获取用户输入信息，以鉴别用户身份；用户应用模块，用于实现用户的办公需求；用户网关模块，用于向企业端发送数据接入请求；信息认证模块以及企业网关模块，用于验证并与用户网关模块构建通讯连接；企业应用模块，用于实现企业端数据的管理和调度，本申请具有提高远程办公的过程中，私密数据的安全性的效果。该发明通过设置多次验证信息保护公司信息，并未在信息传输等过程中进行进一步的加密保护，保密程度不高；若发生非法入侵，也无法及时获取入侵路径。

发明内容

针对现有技术中存在的问题，本发明提供了一种安全智能网关系统、数据传输方法，安全智能网关系统主要包括网关接入模块和网关控制模块，网关接入模块实现公司业务系统应用通过“接入网关系统”的发布，业务应用的暴露面收敛、访问准入和安全审计能力；网关控制模块实现以登录状态检测和身份实名认证为基础的安全检测能力。

本发明采用的技术方案为：

一种安全智能网关系统，包括：业务系统、蜜罐、统一身份认证平台对接系统，网关接入模块，用于实现业务系统的接入操作，通过接入业务系统实现公司业务系统流量管控，基于业务自身的转发和处理逻辑实现业务访问请求的转发、阻断与引流；实现流量选择性校验和基于控制网关检测结果的定向流量转发功能；

网关控制模块，用于实现以登录状态检测和身份实名认证为基础的安全检测功能；实现IP校验，根据现有第三方威胁感知平台黑名单统计结果构建情报IP 数据库，开放接口对接控制网关，控制网关基于威胁情报IP数据库对请求进行研判，并将研判结果返回网关接入模块。

一种安全智能网关系统数据传输方法，所述方法适用于所述的安全智能网关系统，包括如下步骤：

将公司外部业务应用统一接入到安全智能网关的网关接入模块，通过网关接入模块实现业务系统一发布，并基于自身的转发和处理逻辑实现业务访问请求的转发、阻断与引流；

通过接入的流量汇入到网关控制模块，实现访问请求检测工作，实现登录状态检测和身份实名认证功能；

判断是否为攻击者，如果是，则对于恶意攻击的ip地址将无感引流到公司蜜罐中，方便后续溯源反制工作；如果否，则跳转至统一身份认证平台对接系统，进行身份认证后跳转至业务系统。

本发明的有益效果为：本发明通过设置用户信息存储单元、实名认证校验单元用于验证用户身份，同时本发明设置有登录状态管理单元，通过控制网关对 cookie中加密的登录状态和会话信息进行解密，判断用户是否登录，安全性更高；本发明设置有非法访问用户鉴别单元，用于对Cookie解密结果进行合规验证，网关接入模块对于不合规请求转发至蜜罐服务进行溯源，可以及时提醒用户非法路径来源，防止非法路径探测。

附图说明

参考所附附图，以更加充分的描述本发明的实施例。然而，所附附图仅用于说明和阐述，并不构成对本发明范围的限制。

图1为本发明安全智能网关的结构图；

图2为本发明安全智能网关数据传输方法流程图；

具体实施方式

下面结合附图与实施例对本发明做进一步说明：为能清楚说明本方案的技术特点，下面通过具体实施方式，并结合其附图，对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开，下文中对特定例子的部件和设置进行描述。此外，本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的，其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意，在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。

如图1所示，本发明提供一种安全智能网关系统，包括：业务系统、蜜罐、统一身份认证平台对接系统，网关接入模块和网关控制模块；

网关接入模块，用于实现业务系统的接入操作，通过接入业务系统实现公司业务系统流量管控，基于业务自身的转发和处理逻辑实现业务访问请求的转发、阻断与引流；实现流量选择性校验和基于控制网关检测结果的定向流量转发功能；网关接入模块包括：触发和等待组件、响应和处置组件两部分。触发等待组件。基于用户角色、业务系统标签、重大保障时间、源IP、目的IP、请求内容关键词6项参数，决定是否将访问请求转发至控制网关s1检测，并针对不同类型的业务触发不同的检测规则，实现基于不同业务场景策略灵活启停。响应和处置组件根据网关控制模块的分析检测结果，通过持续监测流量中的行为，对身份进行动态的授权，放行“信誉合格”的网络行为，做到“正常访问”与“黑客攻击”的精细度区分，当信誉评分低于设定阈值时，自动触发相关操作，如异常登录地址或违规攻击操作会发短信或邮件提醒、信誉度过低需要进行二次认证或人工确认、恶意用户登录后无感知引流至蜜罐等。将流量分别向三个方向转发，分别为正常转发、阻断访问和定向引流至蜜罐系统，并生成安全日志。三种转发状态可通过配置源IP、目的IP、业务系统标签三个参数进行启停。

网关控制模块，用于实现以登录状态检测和身份实名认证为基础的安全检测功能；实现IP校验，根据现有第三方威胁感知平台黑名单统计结果构建情报IP 数据库，开放接口对接控制网关，控制网关基于威胁情报IP数据库对请求进行研判，并将研判结果返回网关接入模块响应和处置模块,对于恶意攻击的ip引流至蜜罐中，方便对黑客进行溯源操作，对于正常登录用户访问正常的业务系统。

网关控制模块配置登录状态检测单元，对用户请求的cookie信息进行抓取和检测，从用户是否登录、登录状态是否超时、同一cookie是否来自同一源IP 三个方面进行判定，并将登录状态检测结果返回网关接入模块的响应和处置组件。

网关控制模块配置实名认证校验单元，借助接入网关动态抓取用户访问来源、登录目标系统的应用ID，统一身份认证平台对接系统对接,统一身份认证平台对接系统用于保存用户身份认证信息，用于对接控制模块，实现互联网用户访问的实名认证。

网关控制模块设置有用户信息存储单元，用户登录验证后，使用cookie对用户ID，登录状态，会话状态等信息进行加密存储，确保身份统一管控。

网关控制模块配置登陆状态管理单元，通过控制网关对cookie中加密的登录状态和会话信息进行解密，判断用户是否登录。用户在会话有效期内的访问无需再次登录，提高用户体验度。

网关控制模块设置非法访问用户鉴别单元，控制网关对Cookie解密结果进行合规验证，接入网关对于不合规请求转发至蜜罐服务进行溯源，杜绝非法路径探测。

网关控制模块配置实名认证单元，让登陆更安全，通过抓取用户cookie信息来判断是否已实名认证，若未认证，则自动跳转至公司实名认证的页面，并将用户认证信息通过redis缓存记录，并设定好失效时间，用户在有效期内的第二次访问则无需再次认证，提高检测业务效率。控制网关可以实现对恶意访问的实名认证信息进行收集，辅助攻击行为分析，提高溯源反制效率。

实施例一

本发明实施例一提出了一种安全智能网关系统，图1给出了本发明实施例一一种安全智能网关的结构图。基于智能网关控制模块我们提出一种网关控制模块页面业务配置系统，网关控制模块根据不同的业务配置统一的web配置界面，具体包括：

a.支持导入白名单功能，允许白名单的ip访问业务系统；

b.新增用户信息功能，包括业务系统cookie名称、业务系统名称、业务系统url等功能；

c.捕获业务系统用户名并记录，配置业务系统名称、业务系统url、业务系统cookie；

d.用户请求cookie中用户登录状态的抓取和对比，判定用户是否已经完成了对应系统的登录，登录状态是否超时(可统一配置)，cookie状态是否与上次访问一致。网关控制模块实现抓取cookie信息，由其判断判断是否有历史登录状态，并决定是否授予页面访问权限。

根据配置的界面，查询cookie中的登录状态、会话信息、访问源IP等，通过返回的登录状态是否有效，cookie信息是否有异常。设置cookie超时时间，系统未响应时间，自动定向到相应的登录界面，重新登录。

实施例二

本发明实施例二提出了一种统一身份认证平台系统，对接智能网关，以用户登录系统时提交的用户名、生成的cookie及登录时的IP地址为主键，定位用户当前系统身份，建立基于系统内置用户的身份鉴权中心。其次是建立系统身份监测。对接安全告警系统，将用户登录数据与相应IP地址攻击事件相关联，建立系统身份监测系统，重点关注有权限查看更多系统暴露面的授权用户，深入判断用户访问逻辑和不同用户间访问页面的显示情况，解决横行越权问题。建立实名管控登录用户。在智能网关侧，由身份鉴权中心完成用户实名身份校验，实名管控所有对外业务系统用户，可根据身份监测系统，对网络空间中的各类真实用户访问行为进行“信誉度”评估，感知用户行为可信性。最后是实现身份数据的统一治理。根据身份鉴权中心数据，以账号、密码、登录时间为纬度进行数据分析，删除长期未用账号，解决弱口令、空口令、过期口令、默认口令等问题，进一步降低账号口令风险。

如图2所示，本发明提供了安全智能网关的数据传输方法，具体包括：

将公司外部业务应用统一接入到安全智能网关的网关接入模块，通过网关接入模块实现业务系统一发布，并基于自身的转发和处理逻辑实现业务访问请求的转发、阻断与引流；

通过接入的流量汇入到网关控制模块，实现访问请求检测工作，实现登录状态检测和身份实名认证功能；

判断是否为攻击者，如果是，则对于恶意攻击的ip地址将无感引流到公司蜜罐中，方便后续溯源反制工作；如果否，则跳转至统一身份认证平台对接系统，进行身份认证后跳转至业务系统。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。